il sistema di gestione dei dati e dei processi...
TRANSCRIPT
Il sistema di controllo interno
dal punto di vista del revisore
Università degli studi di Pavia
Il sistema di gestione dei datie dei processi aziendali
2
Obiettivo=Relazione
Team diRevisione
Relazione Revisione
Principi Contabili/Principi di Revisione
Comportamento
Pianificazione/Svolgimento/Completamento
3
FLUSSO LOGICO PER L’APPROCCIO OPERATIVO ALLA REVISIONE
Accettazione e mantenimento dell’incarico
PianificazioneBozza iniziale di
strategia e piano di revisione
SvolgimentoAggiornamento strategia
e piano di revisioneSvolgimento e supervisione
procedure per otteneregli elementi probativi
Conclusioni
CompletamentoRelazione
La comprensione del clientee della sua impresa
DOC.315
E’ necessario conoscere l’impresa e il contesto incui opera, incluso il suo controllo interno, inmisura sufficiente a identificare e valutare i rischidi errori significativi nel bilancio, siano essi dovutia frodi o a comportamenti o eventi nonintenzionali e in misura sufficiente per stabilire esvolgere le procedure di revisione in risposta airischi identificati e valutati
La comprensione del clientee della sua impresa
La comprensione del cliente, dell’impresa e del suo contestocostituisce un aspetto fondamentale per lo svolgimento di unarevisione in linea con i principi di revisione. Tramite taleconoscenza è possibile effettuare una la valutazione dei rischi ela pianificazione della revisione.
Il revisore nello svolgimento delle proprie attività ottiene unaconoscenza approfondita del settore, dell’assetto proprietario,della direzione e dell’attività dell’impresa.
L’ottenimento di conoscenze sull’impresa cliente è un processocontinuo di raccolta, accumulazione e valutazione delleinformazioni.
La comprensione del cliente edella sua impresa
• Mercato– Ambiente competitivo
– Ambiente regolamentato
– Condizioni economiche generali
• Strategia– Visione ed Obiettivi
– Organizzazione
– Governance
• Indicatori di punti di forza– Clienti
– Dipendenti
– Innovazione
– Marchio
– Aspetti ambientali, sociali edetici
• Indicatori finanziari– Posizione finanziaria
– Profilo di rischio
– Risultati economici
– Principi contabili
La Significatività
Doc. 320
Un’affermazione, un fatto o una voce sonosignificativi se, dopo aver considerato pienamentele condizioni esistenti, sono di tale natura che laloro pubblicazione o il modo con cui sono espostiè probabile che influenzi o che produca unadifferenza nel giudizio o nella condotta del lettoredel bilancio
Livelli quantitativi di significatività
• Significatività a livello di bilancio nel suocomplesso (“overall”)
• Significatività a livello di singoli classi di valorio transazioni (“account level”)
Le tre componenti del Rischio di Revisione
Rischio Inerente (o Intrinseco): la suscettibilità di un saldo dibilancio o una classe di transazioni ad essere oggetto dierrori significativi, a prescindere dal sistema di controllointerno.
Rischio di Controllo: il rischio che un errore significativopossa verificarsi in un saldo di bilancio o un processosenza che sia prevenuto o individuato e correttotempestivamente attraverso il sistema di controllointerno del cliente.
Rischio di individuazione: il rischio che le procedure direvisione non individuino un errore significativo inbilancio
RischioInerente
(o intrinseco)
Rischiodi Controllo
Rischio diIndividuazione
RischioRischiodi Revisionedi Revisione
Errorimateriali?
SISI
Mitigatidai controlli?
NoNo
Individuatidalla
revisione?NoNo
RelazioneRelazioneSbagliataSbagliata
Rischio di Errore Significativo
• Rischio che, a giudizio del revisore, richiede unaspeciale considerazione durante la revisione a causadella natura (alto rischio inerente/intrinseco) dellarilevanza del potenziale errore da esso prodotto,ovvero la possibilità che ne produca molteplici(magnitudine), nonché la probabilità del suoverificarsi (probabilità).
L’equazione del rischio
Entità impatto(Magnitudine)
ProbabilitàRischio
(non mitigato)=+
Per ridurre (mitigare) il rischio, basta “aggiungere” unlivello adeguato di controlli.
Rischio(non mitigato)
ControlliRischio
(mitigato)=+
Strategia e Piano di revisione
La pianificazione della revisione richiede ladefinizione della strategia generale direvisione e lo sviluppo di un piano di revisione,al fine di ridurre il rischio di revisione ad unlivello accettabilmente basso.
13
14
PIANIFICAZIONE
Strategia di revisioneScopo Direzione Tempistica
Piano di revisioneNatura Tempistica Estensione
(delle procedure)
Team meeting
Materialità
Conoscenza cliente
“Project Plan”
Piano procedurepreviste
(per area, saldo,asserzione e rischio)
Programmidi lavoro
Obiettivie Rischi
Documentazione
Comprensionedel sistema di
ControlloInterno
Comunicazione
Albero delle decisioni a supporto delle scelte di strategia
Svolgi test di dettaglioconsiderando il comfort che haiottenuto dai test sui controlli edalle procedure di coerenza disostanzaNessun lavoro aggiuntivo
Test dei controli manuali,automated eIT general controls
Comprendi e valuta il controllo internoin modo da valutare il rischio epianificare l’approccio di audit
Test dei soli controlli manuali
Considera se svolgere proceduredi coerenza di sostanza seefficiente ed efficace
Considera se svolgere proceduredi coerenza di sostanza seefficiente ed efficace
NoNo
SiSi
NoNo
SISI
NoNo
SI
NoNo
Svolgi procedure di coerenzadisostanza (se efficace edefficiente) altrimenti svolgi test didettaglio
E’ più efficienteed efficace
fare affidamentosui controlli?
Pensiamo di fareaffidamento sui controlli
automatici?
Rischi significativio test di dettaglio
obbligatori?
SiSi
Rischi significativio test di dettaglio
obbligatori?
NoNo
Abbiamosufficiente comfort
dalle procedure di coerenzain relazione alle
asserzioni?
SISI
SISINoNo
NoNo
Tipi di controllo
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls Manuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
Manuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Applicationcontrols
ManualAutomated
Businessperformance
reviewsManuali Successivi
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalcontrols
Manuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Tipi di controllo
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls Manuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
Manual
AutomatedPreventivi
Detective
Preventative
Detective
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Businessperformance
reviews Manual
AutomatedPreventative
Detective
Preventative
Detective
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Manual
AutomatedPreventative
Detective
Preventative
Detective
Aiuta a garantire l’integritàdelle informazionifinanziarie e non, inclusotransazioni e registrazionicontabili(ad es. che lefatture siano registrate nellacontabilità fornitori).
Esempio di rischio:Fatture fornitoriregistrateincorrettamente incontabilità fornitori,con conseguenteerrore del saldofornitori
Tipi di controllo
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls
Preventative
Detective
Preventative
Detective
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
Manuali
AutomaticiPreventative
Detective
Preventative
Detective
Manual
Automated
Automated
Automated
Automated
Preventative
Detective
Preventative
Detective
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Preventative
Detective
Preventative
Detective
Aiutano a garantire ilfunzionamentodell’attività operativadella società
I controlli operativinon hanno impattosulle transazioni esulla lorocontabilizzazione
Businessperformance
reviewsEsempio di rischio:
Guasto alle linee telefoniche conconseguente impossibilità arispondere ai clienti
Tipi di controllo
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls
Preventative
Detective
Preventative
Detective
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
Preventative
Detective
Preventative
Detective
Applicationcontrols
Manual
Automated
Automated
Automated
Automated
Businessperformance
reviewsManuali
Preventative
Detective
Preventative
Detective
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Preventative
Detective
Preventative
Detective
Supervisione diinformazionifinanziarie e non perindividuare errori oproblematiche (ad es:Confronto di actual vsI budget e forecats)
Svolti generalmentedal management e/odalle persone chesvolgono ruoli dicontrollo o vigilanzaindipendenti
Businessperformance
reviews
Esempio di rischio:
La registrazione delle vendite incontabilità è duplicata e taleerrore non viene individuatotempestivamente
Tipi di controllo
20
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols Preventative
Detective
Applicationcontrols
Manual
Automated
Automated
Automated
Automated
Businessperformance
reviews
Preventative
Detective
Preventative
Detective
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Manuali
AutomaticiPreventative
Detective
Preventative
Successivi
Gli ITG Controls suisistemi e dati IT,
aiutano a garantire ilfunzionamento e
l’integrità dei controlliautomatici e dei report
di sistema
Esempio di rischio:
Cambiamenti diapplicazionesoftware cheimpattanonegativamente sullemodalità di gestionedelle informazioni edati finanziari
Tipi di controllo
21
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Informationprocessing
controls Manuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
Manuali
AutomaticiPreventivi
Successivi
Preventivi
Detective
Applicationcontrols
ManualAutomated
Businessperformance
reviewsManual Detective
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Manuali
AutomaticiPreventative
Detective
Preventative
Preventivi
Controlli disegnati esvolti all’interno del
sistema
Controlli svoltimanualmente.
Possono essere controlliesclusivamente manuali
oppurecontrolli manuali
dipendenti dainformazioni o report IT.
Tipi di controllo
22
Informationprocessing
controls Manual
AutomatedAutomated
Automated
Automated
AutomatedManuali
AutomaticiPreventivi
Successivi
Preventivi
Successivi
Applicationcontrols
Manual
AutomatedAutomated
Automated
Automated
Automated
Operationalcontrols
ManualDetective
Applicationcontrols
Businessperformance
reviews
Manual
AutomatedAutomated
Automated
Automated
Automated
IT generalscontrols
Prevengono errori ofrodi prima che
vengano commessi
Manual DetectiveIndividuano errori ofrodi dopo che sono
stati commessi
Valutare i controlli
– Quanto è “forte” il controllo?
– Il controllo è operativo?
– Il personale è competente?
– Quali sono le caratteristiche della popolazionecoperta dal controllo e il controllo è basato subase campionaria?
– Quale rischio mitiga?
23
In sintesi
• Il revisore deve comprendere l’impresa e il contesto in cuiopera, incluso il controllo interno (tutti 5 i componenti)
• La comprensione del controllo interno supporta il revisorenella individuazione e valutazione del rischio.
• Comprendendo il controllo interno il revisore valuta laconfigurazione dei controlli e la loro messa in atto.
• Dalla valutazione del controllo interno il revisore, in sededi definizione di strategia e piano di revisione, decide setestarne al sua effettiva attuazione.